VYSOCE DŮLEŽITÉ
Možná třeba?
Internetové bankovnictví
Profily na soc. sítích
(Pracovní) e-mail
Školní a pracovní informační systémy
V lekci dostanete šanci vyzkoušet si, zda rozeznáte manipulativní e-mail nebo podvodnou webovou stránku. Seznámíte se se vším, co vám pomůže nenechat se obelstít: s kontrolou adresního řádku, s bezpečností veřejných WiFi sítí i s bezpečnějším sdílením osobních údajů na internetu. Ani tentokrát četba lekce nezabere přes patnáct minut, využijte každou z nich k odpálkování pokoutných manipulátorů!
Na kancelářský telefon vám zavolá IT univerzitní pracovník: může se optat na konkrétní zařízení, upozornit vás na problém s neplatnou licencí a přitom se odkáže na kolegu (jméno najde snadno na internetu). Odpovědí útočníkovi nechtěně poskytnete byť drobnou informaci, střípek do mozaiky, kterou pečlivě sestavuje z vícera zdrojů. Manipulativní techniky se liší podle cíle, kterým může být cokoliv od nabourání se do firemní sítě nebo vykradení bankovního konta. Nejznámější technikou zůstává phishing, v češtině tzv. r(h)ybaření. Ročně řeší Masarykova univerzita deset phishingových kampaní, přičemž se nechá napálit nezanedbatelné množství uživatelů. Opravdu se to děje – věnujte proto extra pět minut průvodci phishingem, abyste se nechytili na příští háček.
Na falešné nebezpečné weby vás často dostanete právě kliknutí na odkaz v podvrženém e-mailu (podívejte se na průvodce phishingem), proto se vyplatí otevřít nové okno prohlížeče a webovou adresu si přepsat vlastnoručně. Každá byť drobná změna webové adresy indikuje podvržený web. Mezi typické příklady těchto změn patří nahradit tečku za pomlčku, respektive spojovník (www.is-muni.cz), vypustit hlásku (www.is.mni.cz) nebo třeba vyměnit podobná písmena (www.is.munl.cz). Před falešnými weby vás chrání také správce hesel. Pokud vám totiž nenabídne vyplnění přihlašovacích údajů, web očividně nepoznal a něco není v pořádku. Pamatujte, kontrola adresního řádku je základ.
V aktualizovaném prohlížeči už nenajdete rozlišení na http/https (hypertext transfer protocol/secure). Stejně tak postupně vymizí klasická ikonka (zeleného) zámečku a název certifikátu (například Masarykova univerzita [CZ]). To nás vrací k původní radě: vždycky si zkontrolujte podobu adresy v adresním řádku.
Veřejné WiFi sítě bez hesla jsou opravdu nebezpečné. Dáváte data z provozu všanc komukoliv, kdo je také připojen (a je aspoň trošku šikovný). Vypněte proto funkci automatického připojování na dostupné WiFi bez hesla (automatické připojování je vhodné pro domácí či pracovní WiFi síť).
Veřejné WiFi sítě s heslem zaručují už bezpečnější práci – ostatní připojení nevidí, čím se zabýváte. Nezapomeňte ale, že správce k tomu stále přístup má. V současnosti se vás většina zařízení dokonce zeptá, zda WiFi síti důvěřujete a chcete se připojit k veřejné (nezabezpečené) síti.
VPN (virtual private network) je aplikace, která zajišťuje bezpečné připojení odkudkoliv. Vytvoří takový pomyslný tunel, ve kterém není vidět, co děláte. Proto byste ji měli používat na každém zařízení. Věřte, instalace je jednoduchá. Podrobnější informace o VPN najdete v páté lekci.
Abyste se z toho nezbláznili, naučte se přemýšlet, jaké informace po vás kde zůstávají a eliminujte je. Mezi obranné základy patří:
Obecně vzato byste si také měli pomyslně roztřídit zveřejňované informace, ale především účty podle jejich důležitosti. Účty si rozdělte do tří skříněk: červená je výborně zabezpečený trezor, do kterého patří účty se skutečným rizikem zneužití. Do žluté skříňky umístěte účty, které pro vás nejsou kriticky důležité, ale zároveň je nechcete nechat volně ležet v zelené otevřené skříňce. Zvažte vaše soukromé i pracovní či jiné účty, k nimž máte přístup. Jak se pustit do třídění? Odpovězte si na otázku: k jakým datům a informacím by se potenciální útočník dostal a co by to pro mne znamenalo?
Možná třeba?
Internetové bankovnictví
Profily na soc. sítích
(Pracovní) e-mail
Školní a pracovní informační systémy
Možná třeba?
Telefonní číslo
Adresa trvalého bydliště
Možná třeba?
E-mail s reklamními nabídkami
Kevin Mitnick patří mezi nejslavnější útočníky, kteří využívali techniky sociálního inženýrství. V průběhu 80. a 90. let se díky nápadité výmluvnosti dostal od odposlechu telefonních linek až do vládních systémů. Tři roky se skrýval před FBI a jelikož lidi a společnosti neokrádal, hackování pro něj byla výzva, nabyl popularity napříč společností. Kevin je autorem několika knih a nyní pracuje jako expert bezpečnosti firemních systémů. Přečtěte si o něm například zde (a dozvíte se o koblihách).
Samozřejmě! Jen v roce 2019 se kyberbezpečnostní tým CSIRT-MU zabýval například vlnou vydíracích e-mailů, řešil falešnou výzvu k přihlašování do Microsoft Office, která byla přímo cílená na české univerzity, dále útočníci nabízeli prodloužení licencí. Došlo i k e-mailovým výzvám pro fakultní přihlašovací údaje. V roce 2018 útočníci vypustili falešnou kampaň, která dokonce nabádala pozornosti k phishingu.
Nejčastější typy phishingových zpráv bývají informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů nebo výzkum klientské spokojenosti. Nejtypičtěji útočníci cílí na emoce jako strach, důvěra, autorita. Více o phishingu najdete třeba na webu internetembezpecne.
MITM aneb Man in the Middle (muž uprostřed) je poměrně vychytralý způsob napadení zařízení. Představte si spojení: na jednom konci jste vy (vaše zařízení), na druhém aplikace, se kterou chcete komunikovat (internetové bankovnictví). Nepozorovaně se doprostřed dostává útočník – odtud název útoku – který začne měnit toky a hodnoty dat. U vyřizování online platby dokáže změnit částku i účet, na který ji pošlete. Náchylná pro MITM je veškerá nešifrovaná komunikace (adresy http, veřejné wifi – s heslem, i bez). Dobrá zpráva je, že nešifrované komunikace ubývá; prozatím se ale stále vyplatí používat zmiňované VPN.
Do zařízení se dostane třeba otevřením neznámé přílohy v e-mailu, k nakažení ale může dojít i přes jiný infikovaný stroj v síti (jako když si z čekárny od doktora, kam jste zaskočili jen na kontrolu, odnesete pořádnou chřipku). Zařízení nahlásí potřebu opravy a kontroly disku, jakmile ji potvrdíte, zašifrují se data a vyskočí požadavek na výkupné. Doporučíme jej neplatit a počítač (už při podezření) vytáhnout ze sítě, vypnout a zavolat odbornou IT pomoc. Z preventivních opatření zopakujeme: pravidelné aktualizace (hlavně antiviru) a zálohování dat.